sshdでsshできるユーザを制限する方法
スポンサーリンク
OpenSSH SSH daemonのsshdでは、sshでログインできるユーザを指定し、許可したユーザだけをログインさせることができます。
sshdの設定ファイルは、FreeBSDの場合 /etc/ssh/sshd_config です。
許可するユーザを指定するには、 AllowUsers キーワードを使います。
ユーザ kaworu だけを許可する場合。
ユーザ kaworu とユーザ neko だけを許可する場合。
sshdに設定を反映します。
許可されないユーザがログインしようとしたときに /var/log/auth.log には以下のようなログが出力されます。
AllowUsersキーワードに root ユーザを指定しても、 PermitRootLoginがnoである場合は、rootユーザではログインできません。
アプリケーションをインストールたびに、アプリケーションアカウントが作成されていきますが、sshできる必要ないアカウントができてしまって、そのユーザを悪用されることを AllowUsers で防ぐことができます。セキュリティ向上のためには、sshできるユーザを絞るのは、よいことでしょう。接続元を指定できるので、さらに制限をかけるとよいです。
sshdの設定ファイルは、FreeBSDの場合 /etc/ssh/sshd_config です。
許可するユーザを指定するには、 AllowUsers キーワードを使います。
AllowUsers (許可するユーザ)
このキーワードにはいくつかのユーザ名パターンをスペースで区切って
指定します。これが指定されると、そのパターンのどれかにマッチする
ユーザだけがログインを許可されます。パターン中では `*' および `?'
がワイルドカードとして使えます。有効なのはユーザの「名前」だけ
で、数字で表されたユーザ ID は認識されません。デフォルトでは、ロ
グインはすべてのユーザに許可されています。もしこのパターンが
USER@HOST という形をとっている時は、ユーザ名 USER と ホスト名
HOST を別々にチェックでき、特定のホストからの特定のユーザのログイ
ンを制限することができます。
ユーザ kaworu だけを許可する場合。
AllowUsers kaworu
ユーザ kaworu とユーザ neko だけを許可する場合。
AllowUsers kaworu neko
sshdに設定を反映します。
sudo /etc/rc.d/sshd reload
許可されないユーザがログインしようとしたときに /var/log/auth.log には以下のようなログが出力されます。
Feb 18 17:51:10 aegis sshd[64241]: User noallowuser from example.jp not allowed because not listed in AllowUsers Feb 18 17:51:13 aegis sshd[64241]: error: PAM: authentication error for illegal user noallowuser from example.jp Feb 18 17:51:13 aegis sshd[64241]: Failed keyboard-interactive/pam for invalid user noallowuser from 192.168.10.222 port 65431 ssh2
AllowUsersキーワードに root ユーザを指定しても、 PermitRootLoginがnoである場合は、rootユーザではログインできません。
アプリケーションをインストールたびに、アプリケーションアカウントが作成されていきますが、sshできる必要ないアカウントができてしまって、そのユーザを悪用されることを AllowUsers で防ぐことができます。セキュリティ向上のためには、sshできるユーザを絞るのは、よいことでしょう。接続元を指定できるので、さらに制限をかけるとよいです。
参照しているページ (サイト内): [2009-03-03-1] [2008-10-19-1] [2008-08-17-1]
スポンサーリンク
スポンサーリンク
いつもシェア、ありがとうございます!
もっと情報を探しませんか?
関連記事
最近の記事
- パナソニック ジェットウォッシャードルツ EW-DJ61-Wのホースの修理
- LinuxセキュリティモジュールIntegrity Policy Enforcement
- アマゾンのEcho Show 5を買ったのでレビューします
- アマゾンのサイバーマンデーはAlexa Echo Show 5が安い
- Android スマートフォン OnePlus 7T と OnePlus 7の違い
- Android スマートフォン OnePlus 7 をAndroid10にアップデートしてみた
- クレジットカードのバーチャルカードの比較のまとめ
- 活動量計 Xiaomi Mi Band 4を買ってみたのでレビュー
- Android スマートフォン OnePlus 7 のレビュー
- AliExpressでスマートフォンを買い物してみた
- パソコンのホコリ対策 レンジフードフィルターと養生テープ
- 80PLUS GOLDのPC電源ユニットAntec NeoEco 750 Goldのレビュー
- イギリスの付加価値税 VAT は払い戻しを受けられる
- イギリスのロンドンでスーツケースなど荷物を預けられる場所は
- イギリスのロンドンで地下鉄やバスに乗るならオイスターカードを使おう
- イギリスのヒースロー空港からロンドン市内への行き方
- 航空便でほかの航空会社に乗り継ぎがある場合のオンラインチェックイン
- SFC会員がANA便ではなくベトナム航空のコードシェアを試して解ったこと
- ベトナムの入国審査でeチケットの掲示が必要だった話
- シアトルの交通ICカードはオルカカード(Orca)です
人気のページ
- Windows7 IME 辞書ツールで単語の登録に失敗しました
- C言語 popen()でコマンドを実行して出力を読み込む
- Windows7で休止状態にする方法
- CentOS MySQLの起動、停止、再起動
- loggerコマンドでsyslogにエラーを出力する方法
- パソコンパーツの買取をしてくれる店のまとめ
- Java Mapの使い方 get(),put(),remove(),size(),clear()
- 楽天のRポイントカードを作ってみた
- iPhone 5 から iPhone 6 に乗り換えたのでレビュー
- netstatコマンドのステータスの意味
スポンサーリンク
過去ログ
2020 : 01 02 03 04 05 06 07 08 09 10 11 122019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12